Checkpoint

This commit is contained in:
Jan Philipp Timme 2018-06-15 23:57:52 +02:00
parent b84d45b434
commit eb66a365bd

View File

@ -189,6 +189,7 @@ An der Firewall angeschlossen sind zwei lokale Netze: Die Demilitarisierte Zone
Zusätzlich sind die Netze des Netzwerklabors und des IT-Sicherheitslabors über je einen eigenen Router an den Switch angeschlossen.
Eine Skizze der Netztopologie mit den für diese Arbeit relevanten Teilen ist in Abbildung~\ref{fig:topology_simple} zu sehen.
\begin{figure}[ht]
\centering
% Trim, da diese Grafik als PDF auf DIN A4 vorliegt.
\frame{\includegraphics[trim=75 499 75 75,clip,width=\textwidth]{img/Netzwerktopologie_simpel.pdf}}
\caption{Skizze der Netztopologie der Abteilung Informatik}
@ -198,6 +199,7 @@ Eine Skizze der Netztopologie mit den für diese Arbeit relevanten Teilen ist in
In Tabelle~\ref{tab:net_ip_addresses} sind die IPv4- und IPv6-Netzadressen der Netzsegmente aufgeführt.
\todo{Diese Tabelle in Abbildung oben integrieren!}
\begin{table}[ht]
\centering
\caption{IP-Adressbereiche der relevanten Netzsegmente}
\begin{tabular}{ *{3}{|l}| }
\hline
@ -222,18 +224,19 @@ Im Rahmen dieser Arbeit sind die folgenden Zonen relevant:
\paragraph{Internet}
Das \enquote{Internet} bezeichnet den Bereich außerhalb des Netzes der Abteilung Informatik.
Diese Zone umfasst neben dem Internet natürlich auch das Netz der Hochschule Hannover.
Verbindungen in das Internet sind aus allen Zonen außer das DMZ erlaubt.
Verbindungen aus dem Internet werden nur zu Diensten in der DMZ zugelassen.
Verbindungen in das Internet sind aus allen Zonen außer der DMZ erlaubt.
Verbindungen aus dem Internet werden nur zu Diensten in der DMZ (wie zum Beispiel DNS, VPN, \dots), sowie zu dem SSH-Dienst im Mitarbeiter-Netz zugelassen.
\paragraph{DMZ}
Von der Abteilung Informatik betriebene Server stellen in diesem Netz Dienste zur Verfügung, die sowohl innerhalb der Abteilung als auch über das Internet erreichbar sind.
Verbindungen in die DMZ sind aus allen weiteren Zonen heraus für freigegebene Dienste erlaubt.
Verbindungen aus der DMZ in alle anderen Zonen sind nur unter bestimmten Umständen erlaubt, um im Fall eines Sicherheitsvorfalls das restliche Netz zu schützen.
Verbindungen in die DMZ zu Diensten wie DNS oder VPN sind aus allen anderen Zonen heraus erlaubt.
Verbindungen aus der DMZ in alle anderen Zonen sind nur unter besonderen Umständen erlaubt, um im Fall eines Sicherheitsvorfalls das restliche Netz zu schützen.
Ein Beispiel für
\paragraph{Mitarbeiter-Netz}
Die Arbeitsgeräte aller Mitarbeiter der Abteilung Informatik sind an dieses Netz angeschlossen.
Die Rechner aller Mitarbeiter der Abteilung Informatik sind an dieses Netz angeschlossen.
Verbindungen in das Mitarbeiter-Netz sind nur in Einzelfällen erlaubt - zum Beispiel für Datenverkehr von authentifizierten Benutzern des bestehenden VPN-Dienst.
Verbindungen aus dieser das Mitarbeiter-Netz sind in alle anderen Zonen erlaubt.
Verbindungen aus dem Mitarbeiter-Netz sind in alle anderen Zonen erlaubt.
\paragraph{Pool-PC-Netz}
Enthält die Rechner aus allen Poolräumen.
@ -248,6 +251,7 @@ Verbindungen in die Labornetze sind aus dem Mitarbeiter-Netz und in Einzelfälle
Ein Überblick der erlaubten Verbindungen zwischen den Sicherheitszonen ist in Tabelle~\ref{tab:firewall_zone_access} skizziert.
\begin{table}[ht]
\centering
\caption{Überblick über erlaubte Verbindungen zwischen Sicherheitszonen}
\begin{tabular}{ *{6}{|l}| }
\hline
@ -257,8 +261,8 @@ Aus der Zone \dots & Internet & DMZ & Mitarbeiter-Netz & Pool-PC-Netz & Labor-Ne
Internet & --- & erlaubt & verboten & verboten & verboten \\
DMZ & verboten & --- & verboten & verboten & verboten \\
Mitarbeiter-Netz & erlaubt & erlaubt & --- & erlaubt & erlaubt \\
Pool-PC-Netz & erlaubt & erlaubt & verboten & --- & verboten \\
Labor-Netze & erlaubt & erlaubt & verboten & verboten & --- \\
Pool-PC-Netz & erlaubt & erlaubt & erlaubt & --- & erlaubt \\
Labor-Netze & erlaubt & erlaubt & erlaubt & erlaubt & --- \\
\hline
\end{tabular}
\label{tab:firewall_zone_access}
@ -274,16 +278,16 @@ In diesem Abschnitt werden alle Anforderungen betrachtet, die an den zu konzipie
\item Der VPN-Dienst soll aus dem Internet über IPv4 und IPv6 erreichbar sein
\item Der VPN-Dienst soll die Protokolle IPv4 und IPv6 innerhalb des VPN anbieten
\item Die Serverkomponente des VPN-Dienst soll auf einer aktuellen Version von Debian betrieben werden
\item Für den VPN-Dienst sollen Clients auf aktuellen Versionen gängiger Betriebsysteme zur Verfügung stehen
\item Für den VPN-Dienst soll Clientsoftware für aktuelle Versionen gängiger Betriebsysteme zur Verfügung stehen
\begin{itemize}
\item Microsoft Windows 10 (Version 1709 oder höher)
\item Apple MAC OS ab Version 10.13
\item Linux-Distributionen ab Kernel Version 3.10
\end{itemize}
\item Es stehen keine finanziellen Mittel für den Erwerb einer Lösung zur Verfügung
\item Nur die internen Netzbereiche der Abteilung Informatik sollen über den VPN-Dienst geroutet werden
\item Nur die internen Netzbereiche der Abteilung Informatik sollen über den VPN-Dienst erreichbar sein
\item Die Kommunikation zwischen VPN-Client und VPN-Dienst soll authentisiert und vertraulich stattfinden
\item Benutzer des VPN-Dienst sind Mitarbeiter der Abteilung Informatik
\item Benutzer des VPN-Dienst sind Mitarbeiter und Studenten der Abteilung Informatik
\item Das Benutzerverhalten soll nur im Rahmen der Fehlersuche protokolliert werden
\end{itemize}
@ -295,6 +299,7 @@ Als Lösungen stehen unter anderem OpenVPN und IPsec\cite{RFC4301}[Siehe hier] i
\addcontentsline{toc}{chapter}{Anhang}
\begin{figure*}[ht]
\centering
\frame{\includegraphics[trim=0 120 0 20,clip,width=\textwidth]{img/Abt-I-Architektur-2018.pdf}}
\caption{Dokumentation Netzarchitektur der Abteilung Informatik}
\label{fig:topology_provided_full}